近日,安全管家独家截获一批以“挟持手机正常软件进行恶意推广”的病毒,传播手段如“惊天魔盗团”般尖端—“利用华丽的舞台作为掩护,于众目睽睽之下完成偷天换日的盗窃”盗扣扣软件手机版。该病毒通过捆绑到盗版知名游戏如博雅斗地主、宅男必杀、天天炸金花等软件进行传播,以“无限金币辅助”工具诱导用户安装后,便对用户手机内已安装的软件进行挟持,在被挟持的正常软件内进行恶意传播,推广具有恶意扣费、窃取隐私等严重恶意行为的软件。
这是继今年4月被爆出病毒挟持微信、微博乱弹广告后更严重和更恶劣的挟持行为和手段,“惊天魔盗团”如变魔术般让手机内所有软件为己所用,而用户则会以为是正常软件本身的提示或推荐,目前凭借第二代超级查杀引擎(SMD+AGC)的安全管家对此病毒已可精准查杀盗扣扣软件手机版。
(图1、安全管家查杀盗版的“博雅斗地主”截图)
据安全管家云安全中心分析,上一次被挟持的微信、微博等乱弹广告的病毒会检测判断手机中是否含有微信、新浪微博等应用,随即在这些正常应用界面中频繁弹出“精品推荐”等不同类别的广告盗扣扣软件手机版。而此次“惊天魔盗团”则是全面对手机软件进行挟持,只要运行正常手机软件即会遭到劫持,神不知鬼不觉的进入到其设定的圈套,从而进行恶意传播,甚至恶意扣费的目的。
“惊天魔盗团”劫持手段简单分析:
当用户安装并运行捆绑该病毒的盗版软件后(以盗版“博雅斗地主”为例),直接安装其内置的一款软件名称是“无限金币辅助道具”的软件,而其实“无限辅助道具”软件是用来获取当前运行软件的图标和名称等一些信息,然后在该软件运行之前强制的伪造一个“**软件强烈推荐”的广告,点击该界面直接开始下载盗扣扣软件手机版。
1) 运行盗版“博雅斗地主”软件后盗扣扣软件手机版,直接强制弹出安装无限金币辅助工具:
2)当再次进入手机内正在运行的正版UC浏览器盗扣扣软件手机版,红娘网等软件时,伪造“闪屏”弹出广告,色诱点击:
3)点击闪屏或封面之后直接无提示下载软件盗扣扣软件手机版,完成之后进入安装界面:
4)被恶意推广的软件才是重头戏,这其中被推广的软件包含大量的色情软件,通过有吸引力的图片、视频、名称等引诱用户使用盗扣扣软件手机版。
想必大多数用户觉得只要没病毒就好,同时还创造了福利盗扣扣软件手机版。但这些软件却是有着更严重的恶意行为-包括恶意扣费、私自下载、窃取隐私等,特别是色情软件会在后台私自下载其他安装包,并发送短信订阅服务,进行恶意扣费,如果用户还继续安装该病毒推荐的其他软件,恶意扣费的行为将会不断循环…
安全管家云安全中心的分析师说,目前色情软件多含有恶意行为,通过诱惑的软件名称、图片、视频吸引着用户争相下载使用,从而恶意开发者采取恶意扣费、窃取隐私等手段进行经济利益的获取,不仅仅危害身心健康,同时还使得个人最宝贵的隐私造成泄漏,甚至财产的损失盗扣扣软件手机版。如要避免“惊天魔盗团”般的侵害,首先对正常软件的色情软件下载提醒等保持较高的警惕,不轻易下载,并及时通过安全软件进行查杀。
